Sicherheitsforscher: Windows 10 auf Kernel-Ebene manipulierbar

SicherheitSicherheitsmanagement

Die von ihnen als “GhostHook” bezeichnete Angriffsmethode erlaube dann Manipulationen am Windows-Kernel. Microsoft schränkt aber ein, dass ein Angreifer bereits Kernel-Rechte benötigt, damit der Angriff überhaupt möglich ist.

Forscher des US-amerikanischen IT-Sicherheitsunternehmens CyberArk haben auf eine ihrer Ansicht nach gravierende Sicherheitslücke in Windows 10 aufmerksam gemacht. Die von ihnen GhostHook genannte Methode soll es ermöglichen, die Lücke auszunutzen und damit die von Microsoft zu dessen Schutz vorgesehene Sicherheitsfunktion PatchGuard zu umgehen. Die soll verhindern, dass Änderungen am Kernel von Windows 10 vorgenommen werden, etwa um ein Rootkit zu installieren.

Sicherheitslücken (Bild: Shutterstock.com/bofotolux).

Die CyberArk-Forscher nehmen für sich jedoch in Anspruch, mit dem als GhostHook bezeichneten Angriff Windows 10 auf Kernel-Ebene manipulieren zu können. Angreifer seien so in der Lage, alle Sicherheitsvorkehrungen auszuhebeln, die mit dem Kernel kommunizieren. Neben Antivirenprogrammen und Firewalls sind das auch Host Intrusion Prevention System und diverse Endpoint-Sicherheitsprodukte.

“Bis jetzt haben wir vor allem aufgrund von PatchGuard nicht viele erfolgreiche Rootkits für Windows 10 64-Bit gesehen”, teilt CyberArk mit. “Diese Angriffstechnik gibt Cyberangreifern die vollständige Kontrolle über eine Windows-10-Maschine, inklusive der Möglichkeit, alles auf dem System abzufangen.” Details zu der Sicherheitslücke hat das Unternehmen jedoch nicht veröffentlicht, zurück, da bislang kein Patch vorliegt.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Microsoft plant zumindest derzeit keinen Patch für die Schwachstelle. Möglicherweise wird es den Fehler aber mit einer der nächsten Windows-Version beheben. Ein Microsoft-Sprecher begründete das gegenüber The Register damit, dass “ein Angreifer das Zielsystem bereits vollständig kompromittiert” haben müsse, um den Angriff überhaupt durchführen zu können.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen